Apple schließt Sicherheitslücke in iCloud

Der Entwickler mit dem Handle "pr0x13" informierte Apple über die Schwachstelle. Sein Tool iDict konnte das Passwort eines beliebigen Apple-Kontos knacken. Hierfür musste man lediglich den Kontonamen in der Eingabemaske des Programms eintragen.

Apple-iCloud (Screenshot: ZDNet.de)Apple hat eine Schwachstelle im Authentifizierungsprozess von iCloud behoben. Das geht aus der Beschreibung eines kurz vor dem Wochenende veröffentlichten Brute-Force-Tools hervor. Mit iDict war es möglich, das Passwort eines beliebigen Apple-Kontos zu hacken. Hierfür musst man lediglich den Kontonamen in die Eingabemaske des Programms eingeben. Offenbar umging das Tool Apples Schutzmechnismus, wonach die mehrfache Eingabe eines ungültigen Kennworts zur Sperrung des Kontos führt. Selbst eine aktivierte Zwei-Faktor-Authentifizierung hebelte iDict aus.

Welche Fehler das Programm genau ausgenutzt hat, ist nicht bekannt. Der Entwickler mit dem Handle „pr0x13“ machte darüber keine Angabe. Nach eigenem Bekunden hat er Apple über die Schwachstelle informiert.

Durch die Veröffentlichung von Nacktfotos im Herbst 2014 geriet iCloud schon einmal in die Schlagzeilen. Seinerzeit hatten sich Hacker mithilfe des Crackertools iBrute Zugangsdaten von iCloud-Konten verschafft. Mit dem für forensische Zwecke gedachten Programm EPPB konnten sie mit dem Konto verbundene Daten herunterladen.

In der Folge hat Apple die Sicherheit für den Zugriff auf iCloud-Daten schrittweise erhöht. Zunächst aktivierte es die Zwei-Faktor-Authentifizierung und verschärfte diese Schutzmaßnahme wenig später, indem für Dritthersteller-Programme wie Thunderbird die Eingabe eines anwendungsspezifischen Passworts gefordert wurde. Dadurch wird sichergestellt, dass das primäre Apple-ID-Passwort nicht von Drittanbieter-Programmen erfasst und gespeichert wird.

Die Zwei-Faktor-Authentifizierung ist standardmäßig allerdings nicht aktiv. Um sie nutzen zu können, müssen Apple-Anwender unter Meine Apple-ID den Dienst, der im Apple-Jargon “zweistufige Bestätigung” genannt wird, einschalten. Außerdem benötigt Apple für die Aktivierung des Dienstes volle drei Tage. Mit “Sicherheitsgründen” erklärt der Apple-Support diese Wartezeit in seiner Bestätigungs-Mail, die er wiederum “zur Sicherheit an alle in Ihrem Account hinterlegten E-Mail-Adressen” sendet.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Mit dem kurz vor dem Wochenende veröffentlichten Tool iDict konnte das Passwort eines beliebigen Apple-Kontos geknackt werden (Screenshot: ZDNet.de).Mit dem kurz vor dem Wochenende veröffentlichten Tool iDict konnte das Passwort eines beliebigen Apple-Kontos geknackt werden (Screenshot: ZDNet.de).

 

Themenseiten: Apple, Cloud-Computing, Secure-IT, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Kai Schmerer
Autor: Kai Schmerer
Chefredakteur
Kai Schmerer Kai Schmerer Kai Schmerer Kai Schmerer
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu Apple schließt Sicherheitslücke in iCloud

Kommentar hinzufügen
  • Am 5. Januar 2015 um 16:49 von C

    Schwachstelle bei Apple korrigiert?

    NEIN, das kann nicht sein… lt. unseren Apfel-Fans, denn der Apfel ist per-se sicher. Muss sich um einen Irrtum handeln, wie alle anderen Security-Meldungen zum Apfel auch…und die Sicherheits-Patches auf der Apfel-Home-Page sind auch nur Fake-Installationen…

    Für die nicht Apfel-Fans: Apple war vorher unsicher und bleibt auch danach unsicher. Wie alle anderen auch.
    Man muss sich halt selbst um die Sicherheit bemühen. Komfort- und Wohlfühl-Zonen sind out!

  • Am 6. Januar 2015 um 6:10 von Frank Furter

    Wann begreifen die Leute endlich, dass „die Cloud“ niemals wirklich sicher sein kann, egal von welchem Anbieter!
    Den Aspekt NSA mal ganz außen vor gelassen.

    Und an diesem Thema wieder mal die Religionskriege Apfel gegen *IX, gegen *UX, gegen Win*, gegen … aufzumachen, ist einfach kindisch.

    • Am 6. Januar 2015 um 12:36 von C

      Doch, eine private Cloud auf eigenem Gelände – wo Ich alles selbst bestimme & kontrollieren kann – und die nicht mit dem Internet verbunden ist, kann sicher installiert & betrieben werden.

      Die Cloud-Technik (Art der Service-Bereitstellung, Skalierung und Abrechnung) an sich ist nicht schlecht. Public-Clouds bzw. Hybrid-Clouds sind jedoch heute OUT. Dazu müssten zunächst grundsätzliche Internet-Standards neu erfunden und implementiert werden. In den bisherigen steckt viel US-Hegemonie drin…

      Und ja, es gibt noch heute Apfel-Freunde die behaupten, „ihr“ System und Öko-Umfeld sei sicher, obwohl die Realitäten andere sind. Daher der explizite Hinweis.

  • Am 6. Januar 2015 um 15:01 von mac4ever

    Absolute Sicherheit wird es nie geben, das dürfte wohl inzwischen jedem Computernutzer klar sein. Deshalb gehen meine Adressen beispielsweise nicht in die iCloud. Aber bisher war Apple immer relativ sicher und auch sicherer als MS, aus den verschiedensten Gründen.
    Wer allerdings triviale Paßwörter verwendet, dem ist bei keinem System der Welt zu helfen.

    • Am 6. Januar 2015 um 15:54 von Warum

      sollte Apple sicherer als Microsoft sein? Beweise? Quellen?

      • Am 6. Januar 2015 um 18:04 von Judas Ischias

        Apple-Insider und die Bücher von Mac-Harry. ;)))

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *